Protección de datos en informática

Guía 2021

Las empresas que prestan servicios informáticos, como venta de software o hardware, mantenimiento informático, hosting, cloud computing, programación, diseño web, etc., no solo tienen acceso a los datos personales de sus clientes, sino también, en muchos casos, a sus sistemas informáticos. Por estos motivos, estas empresas deben cumplir con la normativa de protección de datos informática.

En este artículo explicamos cómo adaptarte tu empresa de servicios de informática a la LOPDGDD y el RGPD.

Normativa de Protección de Datos que se debe cumplir en informática (LOPDGDD y RGPD)

Cuando hablamos de la ley de protección de datos informáticos, nos estamos refiriendo a tres leyes en concreto que son de aplicación en este caso:

  • El Reglamento General de Protección de Datos (RGPD), que es el marco general europeo para la protección de datos, en España desde mayo de 2018.
  • La Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD), en vigor desde diciembre de 2018, adapta el RGPD al ordenamiento jurídico español y concreta aquellos aspectos más generales del Reglamento con una regulación propia. Sustituyó a la LOPD anterior.
  • Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).

¿Cómo deben cumplir las empresas informáticas la Protección de Datos?

Las empresas que prestan servicios informáticos tienen acceso a una gran cantidad de datos personales, desde los identificativos de sus clientes y empleados, hasta datos de otras categorías, como los financieros o relativos a la salud (por ejemplo), en función de los servicios que presten. Además, empresas dedicadas al hosting, el cloud computing o el almacenamiento de datos en la nube manejan, en muchas ocasiones, datos personales a gran escala.

Por estos motivos, y como el resto de empresas y organizaciones, deben cumplir con las obligaciones propias de la protección de datos para empresas.

A continuación vamos a ver las principales actuaciones que hay que llevar a cabo para garantizar el cumplimiento de la normativa y la protección de datos personales en informática.

Pasos para cumplir ley lopd rgpd empresas informática

Realiza un Registro de actividades de tratamiento

El primer paso para cumplir con la ley de protección de datos informáticos y adaptarte a la normativa es elaborar un registro de actividades de tratamiento. Se trata de un documento que detalla de forma concisa toda la información relevante respecto a los tratamientos de datos personales que se hacen en la empresa de informática.

Este registro de actividades de tratamiento es obligatorio para empresas de más de 250 empleados y aquellas que, no teniendo ese tamaño, están especificadas en el RGPD. En el caso de tu empresa de servicios informáticos, por tratar datos que pueda entrañar riesgos para los derechos y libertades de los interesados, datos de categorías especiales y/o por tratar datos a gran escala de manera sistemática.

Será el responsable del tratamiento (es decir la propia empresa de servicios de informática) quien deba elaborar este documento, puesto que es una de sus obligaciones.

El registro de actividades de tratamiento debe hacerse por cada tratamiento de datos personales que realices (por ejemplo, datos de contacto de clientes, nóminas de empleados, etc.) y debe incluir la siguiente información:

  • Identificación e información de contacto del responsable del tratamiento y, si los hubiera, del corresponsable, del encargado del tratamiento y del delegado de protección de datos (DPD)
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (tanto existentes como previstos)
  • En su caso, la información y legitimación relativa a las transferencias internacionales de datos
  • Las medidas de seguridad para proteger los datos personales que se tratan
  • Plazos previstos para la eliminación de los datos

El registro de actividades de tratamiento siempre debe estar actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos), si esta lo solicita en el transcurso de una inspección.

Puede mantenerse tanto en formato físico como digital.

Elaborar un análisis de riesgos

Antes de llevar a cabo cualquier tratamiento de datos personales, es obligatorio realizar un análisis de riesgos, para determinar los riesgos y amenazas que pueden derivarse para los datos personales de su tratamiento y el tipo de impacto que tendría sobre los derechos y libertades de los interesados la materialización de dichos riesgos.

El análisis de riesgos debe servir también para establecer los sistemas de protección y salvaguarda de la información para minimizar, por un lado, las posibilidades de que se materialicen esos riesgos y amenazas, o eliminarlas por completo, y por otro lado, en caso de que finalmente se produzcan, reducir su impacto.

Es importante entender que el análisis de riesgos no se limita a las amenazas digitales, como los ciberataques de ransomware, robo de datos e información, hackeo de plataformas online, etc., sino también aquellos relacionados con amenazas físicas que supongan un riesgo para la integridad y disponibilidad de la información, como por ejemplo incendios o inundaciones.

Realizar una Evaluación de impacto

Si del análisis de riesgos se concluye que el tratamiento de datos personales que se va a hacer entraña un riesgo alto para los derechos y libertades de los interesados, será necesario llevar a cabo una EIPD (evaluación de impacto de protección de datos).

Como el análisis de riesgos, la EIPD debe servir para determinar todos los riesgos que existen para los datos que se van a tratar y para, en función de ello, establecer las medidas de seguridad adecuadas que minimicen o eliminen las posibilidades de que los riesgos se materialicen, así como de reducir el impacto negativo que pueden tener de llegar a producirse.

En tu empresa de servicios de informática tendrás que realizar una EIPD si:

  • Realizas un tratamiento automatizado de datos, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas
  • Realizas un tratamiento a gran escala de las categorías especiales de datos

Firmar los contratos con terceros

Cuando tu empresa de servicios informáticos va a ceder datos a terceros, es necesario firmar con estos un contrato de encargo de tratamiento, en el que el responsable del tratamiento deberá dar las instrucciones sobre el tratamiento de datos y su finalidad al encargado del tratamiento.

¿Cuándo se producen estas cesiones de datos a terceros? Cuando tu empresa de informática contrate servicios con otras empresas o profesionales y para la gestión de ese servicio contratado sea necesario que traten datos personales de tus clientes o empleados. Por ejemplo, si una gestoría se ocupa de la gestión y pago de las nóminas de tus trabajadores, o utilizas una plataforma de almacenamiento de datos en la nube para archivar datos de tus clientes.

Incluir los textos legales en la página web

Si tu empresa de servicios de informática tiene una página web, sea esta meramente informativa o la emplees para vender tus servicios o dar soporte, debes incluir en ella, de forma visible y de fácil acceso desde cualquier parte de la página, los textos legales exigidos tanto por la normativa de protección de datos como por la LSSI-CE.

Estos textos legales son:

  • Aviso legal: Es el documento donde se identifica al propietario de la página web (tu empresa) y debe incluir:
    • Nombre del propietario
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil (solo empresas)
  • Política de privacidad: En este documento se incluirá toda la información relativa a cómo se procesan los datos personales que se recaben en la web, incluidos la finalidad de los tratamientos y las cesiones a terceros. Cuando se soliciten datos personales a un usuario o cliente, el formulario deberá incluir la siguiente información:
    • El tratamiento que se hará de sus datos personales
    • Finalidad
    • Cesiones a terceros
    • Identidad y dirección de contacto del responsable del tratamiento
    • La vía para ejercer los derechos sobre sus datos personales
  • Política de cookies: Como es muy probable que tu web genere cookies propias y de terceros, también debes cumplir con la llamada ley de cookies en España e incluir la información correspondiente a las mismas (finalidad, titularidad, duración, etc.).

¿Necesitas cumplir RGPD y LOPDGDD?

Solicita varios presupuestos

 

Solicitar el consentimiento a los clientes

En materia de protección de datos en informática tan importante es saber cómo proteger los datos en la Red o en los sistemas de la empresa, como recabar siempre el consentimiento de los clientes para poder realizar el tratamiento de sus datos.

El consentimiento siempre debe ser expreso, es decir, se necesita de una acción afirmativa por parte del interesado para darlo (puede ser marcar una casilla de «acepto» en el formulario web o la firma de un documento físico en la tienda). Además, también debe ser informado, en sentido, siempre se informará a los interesados de:

  • Identidad del responsable del tratamiento
  • Finalidad para la que se recaban los datos
  • Si se cederán a terceros
  • Medios para ejercer los derechos sobre sus datos
  • El plazo de conservación de los datos

Facilitar los derechos de los usuarios

Los interesados son los propietarios de los datos personales y el RGPD les reconoce una serie de derechos que pueden ejercer en cualquier momento sobre dichos datos.

Como responsable del tratamiento, la empresa de servicios de informática deberá no solo garantizar el ejercicio de dichos derechos, sino también facilitar los medios para hacerlo. Es importante que no atender u obstaculizar alguna de las solicitudes relacionadas con los derechos de los interesados, es motivo de sanción por parte de la AEPD.

Los derechos de los usuarios son:

  • Acceso a sus datos personales
  • Rectificación en caso de que los datos sean inexactos
  • Supresión (derecho al olvido) cuando los datos se traten sin consentimiento o ya no son necesarios para la finalidad para las que fueron recabados
  • Limitación del tratamiento (solo deben tratarse para el fin para el que fueron recogidos)
  • Portabilidad de los datos
  • Oposición a un uso posterior con fines diferentes para los que fueron recabados, como fines comerciales, de investigación o estadísticos
  • No ser objeto de decisiones individualizadas automatizadas (como la elaboración de perfiles)

Firmar los contratos con los empleados

Si tienes empleados, ¿quién puede procesar los datos personales en los ordenadores de tus clientes?, ¿uno de ellos, varios? ¿Quiénes de ellos tienen acceso a información personal de tus clientes?

Sea cual sea la respuesta, tus empleados deben cumplir también la normativa de protección de datos. Aunque seguramente en sus contratos ya se incluya una cláusula sobre la confidencialidad, puedes reforzar este aspecto a través de la firma de un acuerdo de confidencialidad, donde además, se comprometan a cumplir con las medidas de seguridad dispuestas por la empresa y se especifique las consecuencias de no cumplir con estas obligaciones.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Nombrar un DPD

Al igual que ocurre con el registro de actividades de tratamiento o la EIPD, no todas las empresas están obligadas a designar un delegado de protección de datos.

Pero en el caso de que tu empresa de servicios de informática trate datos personales a gran escala de manera sistemática o se dedique a la elaboración de perfiles, tendrás que designar un DPD.

El DPD se ocupa de supervisar todo lo relacionado con el cumplimiento normativo en materia de protección de datos, procesos y políticas internas, así como atiende consultas y dudas y funciona como intermediario entre la empresa y a la AEPD.

Puedes designar a un empleado de la empresa como DPD, aunque es necesario que cuente con conocimientos en materia de protección de datos suficientes para desempeñar sus funciones. O puedes contratar un profesional externo (recomendado) que se ocupe de este papel.

En cualquier caso, deberás hacer pública la designación del DPD, así como sus datos de contacto y comunicárselo a la AEPD.

Imagen conceptual protección de datos informática 2

Modelos para la protección de datos de empresas informáticas

Aquí te dejo los documentos necesarios para un correcto cumplimiento en tu empresa informática de la normativa de Protección de Datos.

Sanciones por incumplir la normativa

No cumplir con la normativa de protección de datos en informática viene acompañado de la imposición de sanciones. Sanciones que han aumentado tras el endurecimiento del régimen sancionador introducido por el RGPD y que la LOPDGDD mantiene igual.

Así, la sanción para infracciones consideradas graves se sitúa en los 10 millones de euros o el 2% de la facturación anual (la cuantía que sea mayor).

Y la sanción para infracciones consideradas muy graves es de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor).

Dentro de esas horquillas, la LOPDGDD hace una gradación un poco más concreta, con infracciones leves (hasta los 40.000 euros), graves (hasta los 300.000 euros) y muy graves (hasta los 20 millones de euros).

El organismo encargado de recibir y atender las denuncias por estas infracciones, realizar inspecciones e imponer las sanciones correspondientes en España es la AEPD.

Preguntas frecuentes

Aquí tienes la respuesta a cuestiones que seguramente te has planteado sobre protección de datos de tu empresa de informática.

¿Qué es la protección de datos y seguridad?

En este artículo hemos hablado de la protección de datos en informática desde el punto de vista del cumplimiento de la Ley de Protección de Datos, pero hay otro aspecto relacionado, con el que es fácil confundirse. Nos referimos a la protección de datos y seguridad de la información.

La protección de datos y seguridad de la información o seguridad informática es una parte más de la TI (tecnología de la información) en las empresas o cualquier tipo de organización, relacionado con la protección ante los accesos de terceros no autorizados a los datos o información de la organización y la protección ante posibles corrupciones o modificaciones de datos e información durante su ciclo de vida.

Es decir, cuando hablamos de protección de datos y seguridad, estamos hablando en términos de ciberseguridad, de adoptar medidas técnicas para garantizar la seguridad, disponibilidad e integridad de la información.

¿En qué consiste y por qué es importante en tu empresa la seguridad de datos?

En relación con la pregunta anterior, la seguridad de datos es importante para tu empresa de servicios de informática, porque a través de ella se implantan las medidas de seguridad necesarias para evitar esos accesos no autorizados a los datos personales que tratas o su posible corrupción.

Consiste, por tanto, en establecer medidas de seguridad que garanticen la privacidad digital en bases de datos, páginas web, equipos informáticos, etc.

¿Cómo puedo demostrar que mi empresa de informática cumple la normativa de Protección de datos?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Aplicando políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados por las autoridades públicas independientes de supervisión de los Estados miembros de la UE.
  • Realizando auditorías periódicas de protección de datos (la auditoría LOPD era obligatoria, ahora no lo es, pero es una de las mejores herramientas para evaluar la eficiencia de tus medidas de seguridad y el nivel de cumplimiento normativo de tu empresa y sus informes pueden servir para demostrar este último ante la autoridad de control).
  • Cumpliendo las directrices emitidas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Cómo se relaciona la protección de datos personales con la seguridad de la información?

Ya lo hemos adelantado en la respuesta a una de las preguntas anteriores; la protección de datos personales y la seguridad de la información están relacionadas en tanto en cuanto las medidas de seguridad que se adoptan para proteger la información de las organizaciones, también se aplican en la protección de los datos personales que tratan de sus clientes o usuarios.

¿Cómo destruir la información de forma segura?

Los medios eficaces que evitan completamente la recuperación de los datos contenidos en los dispositivos de almacenamiento son:

  • Desmagnetización (exposición de los soportes de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo).
  • Destrucción física (inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena).
  • Sobrescritura en la totalidad del área de almacenamiento de la información.

El INCIBE ha elaborado una Guía sobre borrado seguro de la información.

¿Sabes ya cómo adaptar tu empresa de servicios informáticos al RGPD? Si necesitas ayuda, no dudes en solicitar ayuda a alguna de las empresas de nuestro directorio.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.